Facebook、新浪微博OAuth2.0通行证惊爆漏洞，10亿APP用户账户面临盗号劫持威胁

那些支持Facebook、Google和新浪微博账号单点登录(SSO)的APP遇到大麻烦了，近日中国香港大学的三位研究者在欧洲黑帽大会上发布的研究报告“通过OAuth2.0轻松登录10亿APP账号”指出，部署糟糕的OAuth2.0安全协议，使超过10亿APP用户账户面临黑客劫持风险。此前IT经理网曾报道OAuth/OpenID协议爆出过严重漏洞，但是这次问题似乎出在了部署方式上。

 

 

研究者检测了来自中国和美国的600款支持OAuth2.0社交通行证(Facebook、Google和新浪微博)单点登录Android移动应用，发现41.2%的APP都存在安全风险，包括一些最流行的约炮、旅行(例如去哪儿、携程、艺龙)、电商、网银、视频、音乐和新闻客户端。(编者按：虽然研究者并未在论文中对存在漏洞的APP点名，但用户只需在APP或web登录页面查看是否支持新浪微博通行证登录就可判断该APP是否存在账号被盗漏洞)

 

 

研究者指出，被检测出存在SSO单点登录漏洞的APP被下载次数超过24亿次(上图)，这意味着至少10亿用户的账户面临被盗或被滥用的风险，攻击者可以登录用户账户，获取里面的所有隐私信息，如果是电商或者网银APP还可以直接刷单或者购物。

研究者指出OAuth2.0的安全机制较为脆弱，并未定义安全需求，也没有定义后台如何与第三方APP安全通讯，因为“简单易用”，刺激大量定制化API支持SSO，包括新浪微博和google在内的大型互联网公司对OAuth2.0的糟糕部署使得社交账户SSO登录第三方应用变得极为危险。

论文最后呼吁新浪、Facebook和Google加强开发人员的安全培训，将授信权全部交给身份服务商的服务器，而不是任何客户端APP签发的证书。与此同时身份服务商也应当发放私有身份证书而不是依赖全球性的证书，并且应当在APP的安全检测测试中加入对OAuth2.0和OpenID协议的SSO的检测项目。

本文转自d1net（转载）

APP做漏洞渗透测试服务的重要性 很多新开发未上线的网站或APP项目平台，都对漏洞安全问题缺乏积极性导致后期出现很多漏洞而造成的损失，因为开发公司只开发设计实现功能，对安全性和漏洞是无法去检测的，术业有专攻，安全方面一定要交给网站安全公司来做，比如有做对网站或APP进行漏洞测试检测有无漏洞等问题的可以向SINE安全寻求技术支持，因为网站漏洞和咱电脑的系统补丁一个道理，每月都会出漏洞补丁要下载修复，而网站漏洞也是要每月定期排查。
APP数据被泄露接到境外电话 该怎么查服务器漏洞 上海经济7月份开始陆续恢复，一些在上海做APP项目的客户开始了一系列的营销推广和发展，在众多渠道推广下，用户下载安装APP的同时，一些安全上的漏洞频发，并被高级黑客给盯上，具体的数据泄露攻击的症状为：用户刚注册好的用户信息就被泄露，不一会就会收到电话推广营销，并且有些用户的数据被恶意篡改，导致APP运营平台损失较大，比如一些用户借贷额度被篡改成20w的额度，APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务，要求尽快找出漏洞问题的原因以及攻击进行溯源。
APP漏洞渗透测试实施步骤 在开始APP渗透测试时，根据需要制定步骤，并向委托方详细说明需要使用的工具、方法等。具体操作时，会把渗透测试分成三个部分和阶段，不同的角度使区别的方法有所不同，例如在理论上把渗透测试分为准备阶段、渗透测试阶段、整体对比与评估阶段，而在技术操作上分为探测、攻击渗透、目标权限获取三个阶段。
网站APP渗透测试越权漏洞介绍 网络上，大家经常可以看到数据库被脱裤、用户信息泄露等由于安全漏洞引发的问题，给用户和企业都带来了很大的损失。由于公司业务发展迅速，功能不断增加，用户数量不断增加，安全问题日益受到人们的关注。业务部门和安全部门在实践安全测试时开展合作，早期测试人员和安全同学通过手工执行安全测试用例来发现问题，随后慢慢地也开始使用一些安全工具，通过自动化的方式来提高发现问题的效率。
渗透测试公司如何对APP进行漏洞检测与修复 #APP渗透测试#目前越来越多的APP遭受到黑客攻击，包括数据库被篡改，APP里的用户数据被泄露，手机号以及姓名，密码，资料都被盗取，很多平台的APP的银行卡，充值通道，聚合支付接口也都被黑客修改过，导致APP运营者经济损失太大，很多通过老客户的介绍找到我们SINE安全公司，寻求安全防护，防止攻击，根据我们SINESAFE近十年的网络安全从业来分析，大部分网站以及APP被攻击的原因都是网站代码存在漏洞以及服务器系统漏洞，包括安装的服务器软件都存在漏洞。关于APP渗透测试内容，以及如何防止APP被攻击的方法，我们总结一篇文章分享给大家，希望能帮到更多需要帮助的人。
APP安全测试 该如何渗透检测APP存在的漏洞？ IOS端的APP渗透测试在整个互联网上相关的安全文章较少，前几天有位客户的APP数据被篡改，导致用户被随意提现，任意的提币，转币给平台的运营造成了很大的经济损失，通过朋友介绍找到我们SINE安全公司寻求安全解决方案，防止APP继续被篡改与攻击，针对客户的这一情况我们立即成立安全应急响应小组，对客户的APP以及服务器进行了全面的安全渗透。
APP渗透测试 头像上传漏洞检测与修复 多客户网站以及APP在上线运营之前都会对网站进行渗透测试，提前检测网站是否存在漏洞，以及安全隐患，避免因为网站出现漏洞而导致重大的经济损失，客户找到我们SINE安全做渗透测试服务的时候，我们都会对文件上传功能进行全面的安全测试，包括文件上传是否可以绕过文件格式，上传一些脚本文件像php,jsp,war，aspx等等，绕过上传目录，直接上传到根目录下等等的一些漏洞检测。
APP漏洞检测 验证码被重复利用漏洞分析与汇总 在对客户网站以及APP进行安全检测的同时，我们SINE安全对验证码功能方面存在的安全问题，以及验证码漏洞检测有着十多年的经验，在整个APP，网站的安全方面，验证码又分2种，第一个是登陆的身份验证码，再一个对重要的操作进行的操作验证码，虽然从名字上都是验证码，但这两种所包含的内容是不一样的。